Image credit: magnific
Ketika Kenyamanan Awal Bencana SIber – Ada satu kecenderungan bawaan manusia yang menjadi akar dari banyak kegagalan keamanan siber di dunia korporat.
Para ahli psikologi menyebutnya normalcy bias, kecenderungan kita untuk meremehkan kemungkinan bencana dan meyakini bahwa kehidupan akan berjalan seperti biasa, bahkan ketika ancaman nyata sudah berdiri di depan mata.
Dr. Lauren Braithwaite, seorang psikolog klinis, mendefinisikan bias ini sebagai:
“Kecenderungan kita untuk meremehkan kemungkinan bencana dan percaya bahwa kehidupan akan berlanjut seperti biasa, bahkan menghadapi ancaman atau krisis yang signifikan.”
Itulah sebabnya orang sering ragu-ragu setelah alarm kebakaran berbunyi, atau menunda bereaksi dalam situasi darurat lainnya karena segala sesuatunya masih terlihat terkendali.
Di dunia keamanan siber, bias ini berbahaya. Ia membuat organisasi mengira bahwa ketiadaan peringatan yang jelas dari platform proteksi mereka adalah bukti bahwa segala sesuatunya baik-baik saja.
Lainnya gagal bertindak cepat atas tanda-tanda peringatan karena mengasumsikan bahwa bisnis akan terus berjalan seperti biasa.
Ketika Berita Breach Sudah Biasa
Meski gemuruh headline tentang pelanggaran data di organisasi besar terus bergulir dari Marks & Spencer, Jaguar Land Rover, hingga Co-op
Dan meski industri keamanan siber serta lembaga pemerintah terus mengingatkan cara menghindari menjadi korban berikutnya, jumlah insiden besar terus meroket dengan laju yang mengkhawatirkan.
Laporan Tahunan National Cyber Security Centre (NCSC) 2025 mencatat 204 serangan siber “bermakna secara nasional” dalam 12 bulan hingga Agustus 2025, melonjak 130% dari 89 insiden yang dilaporkan pada tahun sebelumnya.
Dari total 429 insiden, 18 diklasifikasikan sebagai “sangat signifikan,” menandai peningkatan 50% dalam insiden berat.
Tingkat pelanggaran tetap membandel tinggi, yang mungkin mencerminkan normalisasi risiko breach secara bertahap, semakin sering pengungkapan pelanggaran terjadi, semakin sedikit urgensi yang dibawa oleh masing-masing insiden. Inilah normalcy bias dalam skala besar.
|
Baca juga: Update Palsu Incar Pemerintah Asia Tenggara |
Pelajaran Telah Dipetik – Benarkah?
Ada sebuah frasa yang sering diulang pemerintah dan perusahaan ketika bencana terjadi, termasuk pelanggaran keamanan siber: “Pelajaran telah dipetik.”
Tapi benarkah demikian? Peningkatan 130% dalam insiden signifikan antara 2024 dan 2025 secara serius menantang pernyataan ini dan menunjukkan bahwa pelajaran sebenarnya tidak dipetik pada level makro. Sepertinya jawabannya adalah: tidak sama sekali.
Seorang peneliti keamanan siber pernah menulis sebuah esai yang menjelaskan kondisi psikologis pasca-breach.
Ia berargumen bahwa banyak perusahaan, dalam arti tertentu, berada dalam keadaan ter-breach dan tidak ter-breach secara bersamaan, mirip dengan kucing Schrödinger.
Hingga Anda membuka kotak dengan menginterogasi log atau secara aktif mencari kompromi, kenyamanan “kita belum di-breach” hanya mencerminkan fakta bahwa tidak ada yang benar-benar memeriksa. Kenyamanan palsu ini, pada dasarnya, juga adalah normalcy bias yang bekerja secara diam-diam.
“Pelajaran telah dipetik” adalah akibat dari membuka kotak, menemukan kucing (sayangnya) sudah tiada, lalu menyatakan: “Kami tahu apa yang terjadi, kami menguasai situasi ini, jangan khawatir.” Ini adalah narasi, bukan bukti perubahan pendekatan yang bermakna.
Proaktif Bukan Reaktif
Pembelajaran nyata adalah proses proaktif yang mengubah cara organisasi berperilaku. Hal ini harus tercermin dalam:
- Perubahan anggaran.
- Kebijakan, aturan.
- Perencanaan pemulihan.
- Pengawasan pemasok.
- Logging.
- Monitoring.
- Pelatihan.
- Dan toleransi terhadap kesalahan untuk menyebut beberapa hal.
Dan semua dilakukan sebelum breach yang tak terhindari terjadi. Target yang bergerak jauh lebih sulit untuk dihantam, bukan?
Jika kita bisa menerima bahwa normalcy bias adalah kondisi kognitif manusia yang umum, kita bisa maju untuk menghindari kelalaian sebelum breach dan meminimalkan dampaknya.
“Manusia itu salah,” tapi sekarang kita tahu apa kegagalannya, kita punya kewajiban untuk bertindak atas pengetahuan itu dan melakukan sesuatu yang berbeda.
Jika Kita Masih Tidak Mengenali Bias Ini
Para “auditor” kriminal mengandalkan kesalahan manusia. Itulah sebabnya phishing masih menjadi salah satu cara paling umum breach terjadi.
Ada dua cara utama akhir permainan ini berlangsung di dunia keamanan siber.
Pilihan pertama: Kita secara rutin mengaudit diri sendiri, menjalankan pengujian penetrasi, latihan red/blue/purple team, mengevaluasi kembali lanskap ancaman secara berkala, dan berinvestasi dalam penyediaan keamanan sebagai bagian dari strategi ketahanan siber.
Pilihan kedua: Kita membiarkan kriminal siber melakukan “audit” untuk kita. Mereka mengandalkan rasa aman yang palsu, secara harfiah dan inilah celah dalam baju besi yang mereka eksploitasi.
“Audit” oleh kriminal bisa brutal, mahal, menghancurkan, dan dalam banyak kasus, terminal bagi organisasi. Para kriminal siber menemukan kesenjangan antara apa yang organisasi percayai tentang keamanannya dan apa realitasnya.
|
Baca juga: Vibeware |
Perspektif dari Medan Pertempuran
Untuk memberikan gambaran, proses intelijen ancaman ESET memproses 750.000 sampel mencurigakan, menganalisis 2,5 miliar URL
sambil memblokir 500.000 di antaranya setiap hari. Aktor ancaman tak kenal lelah, dan seiring serangan mereka menjadi semakin canggih, kita harus membuang pemikiran bahwa kita kebal.
Kita harus menerima bahwa normalcy bias ada dan bertindak atasnya.
Menghadapi sejumlah pelanggaran ritel profil tinggi di Inggris, ESET melakukan riset dengan 2.000 konsumen. Hasilnya mengungkap, antara lain, bahwa 46% pembeli mengatakan akan membutuhkan waktu 5+ bulan untuk membangun kembali kepercayaan setelah pelanggaran data. Itu adalah audit yang mahal!
Seseorang hanya perlu melakukan perhitungan sederhana untuk memperkirakan kerusakan finansial langsung jika itu yang menarik minat manajemen senior. Semua ini seharusnya cukup meskipun ini sering kali hanya ujung dari gunung es yang sangat menyakitkan.
Waktu Berjalan Cepat di Dunia Siber
Aspek normalcy bias yang paling menarik adalah bahwa, meski kecanggihan, kecepatan, volume, dan variasi vektor serangan terus meningkat, pendekatan kita terhadap strategi ketahanan siber sering kali masih tertancap di masa lalu, bahkan jika itu adalah masa lalu yang relatif baru.
Tapi waktu berlalu cepat di keamanan siber, dan dalam 4 atau 5 menit yang Anda habiskan untuk membaca artikel ini, ESET akan telah memproses lebih dari 2.000 sampel mencurigakan dan memindai sekitar 7 juta URL, memblokir sekitar 1.500 di antaranya.
Ketika bertanya mengapa kita harus meninjau penyediaan layanan keamanan siber, apakah kita memperhitungkan semua parameter yang telah berubah (secara global maupun lokal) dalam beberapa tahun terakhir dan bagaimana hal itu bisa mempengaruhi postur keamanan kita saat ini?
Langsung dari pikiran Anda, Anda mungkin bisa menyebutkan beberapa di antaranya:
- Meningkatnya penipuan berbasis AI dan ancaman lainnya.
- Konflik regional yang memicu aktivitas siber.
- Peningkatan biaya kejahatan siber di seluruh dunia.
- Deepfake.
- Peningkatan serangan rekayasa sosial.
- Ketahanan phising sebagai vektor serangan utama.
- Peningkatan kompleksitas solusi dan layanan keamanan siber.
- Kesenjangan keterampilan siber yang tetap mengkhawatirkan lebar.
Dan masih banyak lagi. Bukan kebetulan bahwa tingkat perlindungan yang ditawarkan vendor hanya beberapa tahun lalu sedang dihapuskan, dan layanan serta solusi MDR/XDR/MXDR menjadi norma baru.
Para “auditor” kriminal tentu saja tidak bersantai dalam waktu itu. Meski penggunaan alat baru seperti AI tidak selalu berarti kode yang lebih baik.
Alat tersebut memang memungkinkan mereka untuk menskalakan serangan secara masif, dan memungkinkan mereka untuk memindai kerentanan dengan kecepatan yang belum pernah terjadi sebelumnya.
|
Baca juga: Serangan SQL Injection |
Enam Perintah untuk Melawan Bias Normalitas
Berdasarkan pengalaman lapangan dan data yang terus mengalir, berikut adalah enam imperatif bagi setiap organisasi yang ingin keluar dari jebakan normalcy bias:
1. Investasi dalam Audit Internal
Jika Anda tidak berinvestasi dalam audit, pengujian, kesadaran siber, dan teknologi pencegahan, Anda tidak menghemat uang, Anda hanya mengalihkan jaminan keamanan kepada kriminal.
2. Libatkan C-Suite Sebelum Bencana
Tingkat keterlibatan C-suite dengan keamanan siber paling tinggi adalah segera setelah breach yang mahal, setelah normalitas hancur. Buat mereka terlibat lebih awal.
3. Hadapi Ancaman 24/7
Kriminal bekerja 24 jam sehari, nonstop, dengan AI agentik di sisi mereka. Apakah solusi Anda cukup tangguh untuk mengatasinya? Periksa.
4. Evaluasi Profil Siber Secara Konstan
Apapun ukuran organisasi Anda, Anda perlu melihat profil dan ketahanan siber Anda secara terus-menerus.
5. Jangan Salah Artikan Diam sebagai Aman
Jangan menganggap keheningan (insiden) sebagai keamanan, berinvestasilah dalam layanan MDR/MXDR 24/7.
6. Hindari Jebakan Bias Normalitas
Sekarang Anda tahu tentang jebakan normalcy bias, hindarilah.
Kenyamanan Palsu
Normalcy bias bukan kelemahan yang memalukan, ini adalah kondisi manusiawi yang dimiliki kita semua. Namun, di dunia di mana 500.000 URL berbahaya diblokir setiap hari dan serangan siber meningkat 130% dalam setahun, mengabaikan bias ini bukan lagi opsi. Ini adalah pilihan antara hidup dan mati bagi organisasi.
Kenyamanan palsu dari “belum ada insiden” tidak sama dengan keamanan. Keamanan nyata adalah proses yang tidak pernah berakhir, audit, adaptasi, dan antisipasi terus-menerus. Jangan biarkan normalcy bias menjadi penjara yang mengunci organisasi Anda dalam keyakinan bahwa “ini
Sumber berita:
